Seit mehr als 20 Jahren dient Kerberos als primäres Authentifizierungssystem für Windows und seine verschiedenen Versionen. Es gibt jedoch bestimmte Situationen, in denen das Betriebssystem NTLM (NT LAN Manager) verwenden muss, einen anderen Ansatz. Um NTLM endgültig vollständig zu ersetzen, gab Microsoft heute bekannt, dass es die Nutzung von Kerberos erweitert.
Microsoft sagte in einem Blogbeitrag, dass bestimmte Unternehmen und Organisationen weiterhin NTLM für die Windows-Authentifizierung verwenden, da es „keine lokale Netzwerkverbindung zu einem Domänencontroller erfordert“. Darüber hinaus ist es „das einzige Protokoll, das bei der Verwendung lokaler Konten unterstützt wird“ und „funktioniert, wenn Sie nicht wissen, wer der Zielserver ist“.
Laut Microsoft:
Diese Vorteile haben dazu geführt, dass einige Anwendungen und Dienste die Verwendung von NTLM fest codieren, anstatt zu versuchen, andere, modernere Authentifizierungsprotokolle wie Kerberos zu verwenden. Kerberos bietet bessere Sicherheitsgarantien und ist erweiterbarer als NTLM, weshalb es mittlerweile ein bevorzugtes Standardprotokoll in Windows ist.
Das Problem besteht darin, dass Unternehmen zwar möglicherweise NTLM für die Authentifizierung deaktivieren, bei fest verdrahteten Diensten und Anwendungen jedoch Probleme auftreten können. Microsoft hat Kerberos dadurch um zwei zusätzliche Authentifizierungsfunktionen erweitert.
Eine Methode ist Initial and Pass via Authentication Using Kerberos (IAKerb), die es einem Client ohne Sichtverbindung zu einem Domänencontroller ermöglicht, sich über einen Server zu authentifizieren, der über Sichtverbindung verfügt. Das lokale Key Distribution Center (KDC) für Kerberos ist eine weitere Option, die Unterstützung für die lokale Kontoauthentifizierung bietet.
Mit diesen Änderungen wird Kerberos schließlich der ausschließliche Windows-Authentifizierungsmechanismus sein.
Laut Microsoft:
Eine verringerte Nutzung von NTLM führt schließlich zu dessen Deaktivierung in Windows 11. Um zu entscheiden, wann die Deaktivierung von NTLM sicher ist, verwenden wir eine datengesteuerte Strategie und behalten den Rückgang der NTLM-Nutzung im Auge.
Microsoft wird NTLM zunächst standardmäßig deaktivieren, nachdem eine Auswahl getroffen wurde. Unternehmen können es jedoch wieder aktivieren, falls sie auf Kompatibilitätsprobleme stoßen. Wann genau dies alles geschehen wird, wurde von Microsoft nicht angegeben.
Wir hoffen, unsere Artikel konnten euch bei eurer Problemlösung helfen? Wenn ihr unsere Arbeit unterstützen möchtet, würden wir uns über eine kleine PayPal-Kaffeespende freuen. Vielen Dank!
